PR 2 596 176 



(54) Protected box for checking a personal identification number 

(57) The box (6) of a unit for typing of a personal identification number 
houses internally a printed circuit of which the top carries a keypad (2) 
and a display (3) while the bottom accommodates a protected module, 
linked in particular to the keypad and capable of checking the number 
or transmitting it in encrypted form, using secret data kept in a backed- 
up random access memory (18). The micro- switches (5) are placed 
inside the box (6) to remain closed when the two parts of this box are 
joined together. The inside of the box is passed through by a live wire 
(4). The power supply circuit of the backed-up random access memory 
(18) passes through the micro- switches (5) and this live wire (4). 
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Bohter protege pour le controls d'un code confidentiel. 
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Le bohier 6 d une unite pour la composition d'un code 
confidentiel toge interieurement un circuit imprime dont le 
dessus pone un clavier 2 et une visualisation 3. tandis que le 
desaous recoit un module protege. re!ie notamment au clavier, 
et propre a verifier le code ou a le transmettre sous forme 
chiffree, a raids de donnees secretes conservees en memoire 
vive aauvegardee 18. Les micro-interrupteurs 5 sont places a 
nnterieur du boftier 6 pour demeurer fermes lorsque les deux 
parties de ce boTtier sont reunies. Llnterieur du boitier est 
parcouru par un fil conducteur 4. Le circuit d'alimentation de la 
memoire vfve aauvegardee 18 passe par les micro-interrupteurs 
5 et ce Ml conducteur 4. 
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Boitier prote ge pour le controle d'un code conf identiel . 

L 1 invention concerne les appareils de paiement electronic 
que, que I'on appelle aussi terminaux de point de vente, 
5 ou terminaux d'encaisseroent. 

Ces appareils sont installes chez les commersants, pour 
permettre d 1 automatiser les transactions par carte de 
paiement. Pour ce qui le concerne, le client peut ratifier 
10 la transaction par sa signature, ou bien par la composition 
de son code conf identiel , sur un petit appareil separe, 
dit boitier client. 

Des precautions poussees sont prises pour conserver la 
15 confidentiality de ce code : 

- ou bien, il est verifie sur place, par des moyens de 
controle appropries incorpores au boitier du client; 
aucune transmission du code conf identiel en dehors du 

20 boitier client n f est alors requise? 

- ou bien, ce code est verifie dans un ordinateur central, 
auquel cas, il ne sort du boitier client qu f apres avoir 
subi un chiffrement, qui le rend pratiquement indecryp- 

25 table. 

Ces deux fonctions sont maintenant assurees par un circuit 
integre hybride, protege de resine, qui fait partie du 
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boitier client. Bien entendu, les moyens de controle ou 
de chiffrement utilises par ce circuit sont tenus secrets. 

Ainsi, un degre de s6curit6 6lev6 est atteint. 

Cependant, la Demanderesse a observS que des personnes 
malveillantes pourraient tenter d ' inter cepter un code 
confidentiel, au moment ou il passe du clavier au circuit" 
int6gr6 protege. 



10 



La pr^sente invention a pour but d'am^liorer la s6curit£ 
sur ce point. Pour cela, 1* invention a £t£ developp^e 
pour une unit6 permettant le controle d'un code confiden- 
tiel, et comprenant un boitier, en deux parties solidaires, 

15 qui loge int^rieurement un circuit imprim£. La face sup€- 
rieure de ce circuit imprime porte un clavier, accessible 
sous abri a l'usager par la partie sup£rieure du boitier. 
La face inferieure du circuit imprimd porte un module 
prot£g£, re lie au clavier, et en principe a une visuali- 

20 sation, ainsi qu'a un cable de transmission vers un termi- 
nal de transaction automatique. Le module protege, souvent 
constitue d'un circuit integre hybride noye dans la resine, 
est capable d'effectuer la verification interne et/ou 
la transmission chiffree d'un code confidentiel compose 

25 sur le clavier. Cette verification se fait a l'aide de 
donnees secretes conservees dans une memoire vive sauve- 
gardee, qui fait partie du module protege. 

Selon un premier aspect de 1* invention, un ou des micro- 
30 interrupteurs sont places a l'int^rieur du boitier, pour 
etre ferm^s lorsque ses deux parties sont reunies (en 
th^orie, un seul micro-interrupteur pourrait suffire mais 
la Demanderesse pr^fere actuellement prevoir plusieurs 
micro-interrupteurs) ; la partie inferieure du boitier 
35 porte un fil conducteur qui la parcourt, au moins au voisi- 
nage des micro-interrupteurs; enfin, le circuit d' alimen- 
tation sauvegarde de la memoire vive passe par les micro — 
interrupteurs et par ce fil conducteur. 
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De pjr£f£rence, le fil conducteur parcourt quasi-cpmplfete- 
ment la surface interne de la partie inf^rieure du boitier. 
Pour plus de sGret6, on pr^voiera meme qu'il parcourt 
aussi la partie sup^rieure du boitier, au moins partiel- 
5 lement, en particulier sur les cot£s. 

Selon un autre aspect de l f invention, la partie inf^rieure 
du boitier est renforcee interieurement par une r^sine, 
et le fil conducteur est noy£ dans cette r£sine, ou bien 
10 log£ entre cette resine et la partie inf^rieure du boitier. 
La gaine d 1 isolation de ce fil est avantageusement de 
meme couleur que la resine. 

Selon un autre aspect, particulierement int£ressant de 
1* invention, la position des micro-interrupteurs est va- 
15 riable d'un boitier a 1' autre. Ceci peut etre obtenu aise- 
ment en fixant des tolerances assez larges pour position- 
ner ces micro-interrupteurs lors de la fabrication des 
boitiers. 

0 Ainsi, la position des micro-interrupteurs peut etre ren- 
due variable de quelques millimetres. Le fil conducteur 
peut alors parcourir la surface interne du boitier avec 
un pas du meme ordre, au moins dans une direction, de 
preference de fa9on bidirectionnelle. L 9 implantation de 
25 ce fil peut se faire a la main sans cout excessif . 

Selon encore un autre aspect de l 1 invention, dans son 
etat ouvert, chaque micro-interrupteur met a la masse 
1" aliment at ion sauvegardee de la m&noire vive. On assure 
30 ainsi une disparition rapide du contenu de celle-ci. 

Les micro-interrupteurs peuvent etre disposes pour certains 
prfes des Ifevres de collage des deux parties du boitier, 
35 pour d'autres sur la face inferieure du circuit imprime, 
ou encore entre des composants port^s par cette face infe- 
rieure du circuit imprime et le fond interne inf erieur 
du boitier. 
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Enfin, selon encore un autre aspect de 1" invention, les 
liaisons £lectriques entre le clavier et le module protege , 
qui sont relatives a l f £tat des touches , sont essentiel- 
lement r£alis6es par des pistes situ6es sur la face infe-' 
5 rieure du circuit imprim6. 

D'autres caract^ristiques et avantages de 1' invention 
apparaitront a I'examen de la description detaillee ci — 
aprfes, et des dessins annexes , sur lesquels : 

- la figure 1 est une vue en perspective montrant un ter- 
minal de transaction reli6 par un cable a une unitS de 
composition de code conf identiel, ou "boitier client"; 

15 - la figure 2 est le schema 6lectrique de principe des 
circuits contenus a l'interieur du boitier client? et 

- les figures 3A et 3B sont deux vues en coupe du boitier 
client, selon un mode de realisation de 1* invention. 

20 

Les dessins annexes comportent des informations de carac- 
tere certain, ou bien geom£triques . A ce titre, ils sont 
incorpor^s a la description non seulement pour eclairer 
celle-ci mais aussi pour contribuer le cas echeant a la 
25 definition de 1 f invention. . 

Sur la figure 1, la reference TCO designe un terminal 
de transaction, qui peut etre un terminal de paiement 
61ectronique (s6rie E200 vendue par la Demanderesse) , 
30 ou bien un terminal d'encaissement multi-commerces (serie 
E30G vendue £galement par la Demanderesse ) . 

Ce terminal est relie par un cable de connexion CC a un 
boitier client BCL, dont le boitier proprement dit 6 est 
35 surmont£ d'un abri 30, propre a dissimuler aux regards 
indiscrets un clavier 2 et une visualisation 3. 
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Sur le schema 6lectrique de la figure 2, on retrouve en 
6 les.limites ext^rieures du boitier. Le module prot6g£ 
1, qui est un circuit int6gr£ hybride, comporte une hor- 
loge 10 , reliee a un microprocesseur 12. Le bus d'adres- 
5 ses BAl de celui-ci traverse une logique de commande 14, . 
pour venir en BA2 vers une memoire morte 16 (MEM ou ROM), 
ainsi qu'une memoire vive 18 (MEV ou RAM). 

Le cable de connexion CC est la seule liaison Slectrique 
10 qui traverse la paroi 6 du boitier. II comprend par exem- 
pie : 

- une liaison d 1 alimentation Vcc 
15 - une liaison de masse GND; 

- une tension d 'alimentation sauvegardee ou secourue notee 
VSec. 

20 Selon 1' invention, des micro-interrupteurs 5-1 a 5-n sont 
places a l'interieur du boitier, pour etre fermes (etat 
illustre sur la figure 2) lorsque les deux parties du 
boitier sont reunies. La partie inferieure du boitier 
porte un fil conducteur 4 continu, qui la parcourt au 

25 moins au voisinage de ces micro-interrupteurs. 

La figure 2 montre que le circuit d' alimentation sauvegar- 
dee de la memoire vive, a partir de I'arrivee VSec, passe 
par le fil continu 4 et l 1 ensemble 5 des micro-interrup- 
3Q teurs. La tension Vseca disponible a la sortie de ce cir- 
cuit serie n'existera done que si aucun des micro-inter- 
rupteurs n'est ouvert, et si le fil continu 4 n'a pas 
6te coupe. 

Le mode de realisation illustr6 sur la figure 2 est actuel- 
35 lement pr£fere# mais on pourrait, inversement, placer 
d'abord les micro-interrupteurs 5 et ensuite le fil 4, 
pres de la memoire vive 18. 
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De preference, pour assurer 1 1 interruption totale de 1' ali- 
mentation de la m&noire vive et 1 f ef f acement imnuidiat 
des donn£es secrfetes qu'elle contient, chacun des micro- 
interrupteurs 5-1 k 5-n va, lorsqu'il s'ouvre, mettre 
k la masse 1' alimentation de cette m6moire vive, et ce 
apr&s une faible excursion. 

Les figures 3A et 3B illustrent en plus de details, un 
mode de realisation particulier de l 1 invention. 

On reconnait en 19 un circuit imprime, dont la face sup£- 
rieure porte des touches 2-1 a 2-7 du clavier 2. On sait 
maintenant r^aliser un montage direct des touches d'un 
clavier sur un circuit imprime. Sur la face inf^rieure 
du circuit imprime 19 est monte, notamment, le circuit 
Integra hybride 1, dont le schema d<£taill£ est donn£ sur 
la figure 2. 

Les liaisons electriques entre le clavier 2 et le module 
protege 1, qui ne passent pas par une interface standard, 
comportent, sous forme matricielle : 

- des liaisons de scrutation des touches ("lignes") 

- des liaisons relatives a l'etat des touches ( "colonnes") . 

Selon 1' invention, les liaisons electriques relatives 
a l'£tat des touches sont essentiellement r^alisees par 
des pistes. situ6es sur la face inf 6rieure du circuit impri- 
nt 19, a 1" exclusion de toute piste sur la face sup6rieure 
de ce circuit imprime. Aucun acces a ces liaisons n'est 
done possible par la face supSrieure du circuit imprime. 



On pourra trouver avantage a faire de meme pour les 
sons de scrutation des touches. 
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Le boitier 6 est constitu<§ d'une partie inferieure 60, 
et d'une partie sup^rieure 61, dont le dessus est plat 
en 62 et entourd par la bride 30; 

5 La partie inf<5rieure du boitier 60 est renforcde par une 
resine dure 65. Un fil conducteur continu 40 est noy6 
dans une r«5sine, ou log<§ entre cette r<5sine 65 et la 
partie inferieure 60 du boitier. 

10 Pour une protection encore meilleure, on pr^voit £gale- 
ment un revetement interieur de resine 66 au moins sur 
les cotes de la partie superieure 61 du boitier. Un fil 
continu 41, relie en serie avec le fil 40 , est prdvu dans 
cette resine 66, ou entre celle-ci et la paroi 61, conune 

1 5 prdcedemment . 

Pres de la levre 68, formant jonction collee entre les 
deux parties 60 et 61 du boitier, sont montes interieure- 
ment deux micro-interrupteurs 5-1 et 5-2, a l'avant du 
boitier, et a l'arriere deux autres micro-interrupteurs, 



20 



dont seul l'un, 5-3, est visible sur la figure 3A. 



Dans le mode de realisation illustre, ces micro-interrup- 
teurs sont montes dans des logements definis dans les 
25 blocs de resine 65 et 66. 

La figure 3B montre egalement que des micro-interrupteurs 
tels 5-5 peuvent etre montes entre la face inferieure 
du circuit imprime 19 et le fond interne inferieur du 
30 boitier, defini ici par le bloc de resine 65. 

Comme montrd en 5-6, on pourrait encore pr^voir des micro- 
interrupteurs months entre des composants portes par la 
face inferieure du circuit imprime (notamment le module 
35 prot6g6 1) et le fond interne inferieur du boitier. 



BNSDOCID: <FR 25961 76A1_L> 



2596176 



Enf in un ou des microinterrupteurs places sous la paroi 
62 , avec interposition d'un masque au format du clavier, 
permettent de detecter toute tentative de d^coupe au niveau 
des touches. 

5 

II est concevable, mais on6reux, de pr^voir un assez grand 
nombre de micro-interrupteurs de ce genre places en diffe- 
rentes parties du boitier. Par principe, l 1 invention pr<5- 
voit que les fils 40 ou 41 interdisent tout pelage ou 
10 autre brisure locale du boitier, qui permettrait l'acces 
& un micro-interrupteur, et par consequent la neutralisa- 
tion de celui-ci (calage, collage, par exemple). 

La Demanderesse a observe qu'il est plus simple de pr^voir 
^ 5 que la position des micro-interrupteurs soit variable 
d'un boitier a 1' autre, ce qui empeche toute provision 
de la position exacte d'un tel micro-interrupteur. Cette 
mesure pourrait d'ailleurs en soi etre suffisante pour 
assurer la protection du boitier : en effet, si ce boitier 
2o 6tait largement perce en un endroit anormal, le client 

s'en rendrait compte, et pourrait refuser de s'en servir. 

Cependant, la s6curit6 est considerablement renforcee 
par le fil continu 4, qui parcourt l'interieur du boitier 

25 avec un pas assez etroit, et de preference dans les deux 
sens, ce pas €tant rendu comparable aux variations de 
positions des micro-interrupteurs. Par exemple, la posi- 
tion des micro-interrupteurs varie de - 2 mm, et le pas 
du fil est de 5 mm. II devient alors pratiquement impos- 

30 sible de percer le boitier pour tenter d'acc^der a un 

micro-interrupteur, sans avoir entre temps ouvert le cir- 
cuit d 1 alimentation de la m&noire sauvegard^e. 

Le r^sultat est alors que le boitier client est stricte- 
35 ment inutilisable. Comme il est par ailleurs pr6vu que 
le boitier et le terminal sont la propriety des banques 
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15 



emettrices, et qu'ils ne sont jamais repares in situ, 
mais toujours echanges pour controle en atelier en cas 
d'anomalie, il devient ainsi pratiquement impossible d'inter- 
cepter le code confidentiel d'un usager, apres avoir vio- 
le le boitier prevu pour la composition de ce code, et 
modifie par exemple le cable de connexion. 

Compte-tenu du sujet, il n'est pas souhaitable de develop- 
per completement ici les avantages obtenus par la mise 
en oeuvre de 1' invention. Le specialiste comprendra comment 
la securite se trouve renforcee. 

Bien entendu, la presente invention n'est pas limitee 
au mode de realisation decrit. Elle s'etend au contraire 
a toute variante incluse dans le cadre des revendications 
ci-apres. 

25 En particulier, dans le cas ou les etats des touches n'ap- 
paraissent que sous le circuit imprime, on peut alleger 
la protection. 



20 



* 
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Revendications 

1. Unite permettant le controle d'un code conf identiel, 

5 comprenant un boitier (6), en deux parties solidaires 

(60, 61) qui loge interieurement un circuit imprime (19), 
dont la face sup£rieure porte un clavier (2), accessible 
sous abri a l'usager (62) par la partie sup6rieure (61) 
du boitier, et dont la face inf^rieure porte un module 

10 protege (1), relie au clavier (2) ainsi qu'a un cable 

de transmission (CO, et capable d'effectuer la verifica- 
tion interne et/ou la transmission chiffr^e d'un code 
conf identiel composd sur le clavier (2), a l'aide de don- 
n6es secrfetes conservees dans une memoire vive sauvegard^e 

15 (18), laquelle fait partie du module prot4g«S (1), 

caracteris^e eri ce que des micro-interfupteurs (5) sont 
places a I'interieur du boitier (6), pour etre fermes 
lorsque ses deux parties (60, 61) sont r6unies, en ce 
20 que la partie inf^rieure (60) du boitier porte un fil 

conducteur (4) qui la parcourt au moins au voisinage des 
micro-interrupteurs (5), et en ce que le circuit (4, 5) 
d 1 alimentation sauvegardee de ladite memoire vive passe 
par les micro-interrupteurs (5) et par ce fil conducteur (4). 

25 

2. Unite selon la revendication 1, caracteris^e en ce 
que le fil conducteur (40) parcourt quasi completement 
la surface interne de la partie infdrieure du boitier. 

30 3. Unite selon la revendication 2, caracteris^e en ce 
que la partie inf6rieure du boitier (60) est renforcee 
par une resine (65), et en ce que le fil conducteur (40) 
est noye dans cette resine ou log£ entre cette resine 
et la partie inf4rieure du boitier. 

35 
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4. Unite selon l'une des revendications 1 a 3, caracte- 
rise en ce que la position des micro-interrupteurs (5) 
est variable d'un boitier a 1' autre. 

5. Unite selon la revendication 4, caracterisee en ce 
que la position des micro-interrupteurs (5) est variable 
de quelques millimetres, et en ce que le fil conducteur 
(4) parcourt la surface interne du boitier avec un pas 
du meme ordre. 

6. Unite selon l'une des revendications 1 a 5, caracteri- 
see en ce que, dans son etat ouvert, chaque micro-inter- 
rupteur (5) met a la masse 1' alimentation sauvegardee 

de la memoire vive. 

7. Unite selon l'une des revendications precedentes, carac- 
terisee en ce que certains au moins des micro-interrup- 
teurs (5) sont places pres des levres (68) de jonction 

des deux parties du boitier. 

8. Unite selon l'une des revendications precedentes, carac- 
terisee en ce que certains au moins des micro-interrupteurs 
(5) sont montes sur la face inferieure du circuit imprime 
(19) . 



25 



9. Unite selon l'une des revendications precedentes, carac- 
terisee en ce que certains au moins des micro-interrup- 
teurs (5) sont montes entre des composants portes par 

la face inferieure du circuit imprime, et le fond interne 
30 inferieur du boitier (60, 65). 

10. Unite selon l'une des revendications precedentes, 
caracterisee en ce que les liaisons electriques entre 

' le clavier (2) et le module protege (1) relatives k l'etat 
35 des touches, sont essentiellement realisees par des pistes 
situees sur la face inferieure du circuit imprime. 
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